L'80% delle PMI italiane che subiscono un attacco informatico non aveva mai fatto un cybersecurity assessment. Non sapevano quali vulnerabilità avevano, quali dati erano esposti, né quanto erano lontani dagli standard minimi di sicurezza. Il costo medio dell'attacco: 95.000 €. Il costo dell'assessment che l'avrebbe prevenuto: 2.000-5.000 €. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB) con oltre 200 clienti B2B, ha completato più di 90 cybersecurity assessment. In questa guida ti spieghiamo cos'è, come funziona, quanto costa, e perché è il primo passo per proteggere davvero la tua azienda.
Cos'è un cybersecurity assessment (e cosa non è)
Un cybersecurity assessment è una fotografia completa della postura di sicurezza della tua azienda. Risponde a 3 domande fondamentali: dove sono (stato attuale dell'infrastruttura e delle difese), dove dovrei essere (rispetto a uno standard di riferimento come il NIST CSF), e cosa devo fare per arrivarci(remediation plan con priorità e costi).
Cosa non è: non è un audit (che verifica la conformità formale a uno standard), non è un penetration test (che simula un attacco reale), non è un semplice scan di vulnerabilità (che è solo una delle fasi dell'assessment). L'assessment è più ampio e strategico: analizza tecnologia, processi e persone. Il vulnerability assessment è una componente dell'assessment completo, non un sostituto.
Un'analogia che funziona: l'assessment è come il check-up medico annuale. Non ti cura (quello lo fa la remediation), ma ti dice cosa hai, cosa rischi, e cosa devi fare. Senza check-up, scopri i problemi quando è troppo tardi.
Il framework NIST CSF: la bussola dell'assessment
Il NIST Cybersecurity Framework (CSF) è lo standard di riferimento più usato al mondo per valutare la postura di sicurezza. È stato creato dal National Institute of Standards and Technology (USA) ma è adottato a livello globale, anche in Italia. La versione 2.0 (2024) organizza la sicurezza in 6 funzioni.
1. Govern (Governare). La leadership conosce e supporta la strategia di cybersecurity? Ci sono policy scritte? C'è un responsabile? C'è budget dedicato? La maggior parte delle PMI italiane ha un punteggio vicino a zero su questa funzione.
2. Identify (Identificare). Sai quali asset hai? Dove sono i dati critici? Chi ha accesso a cosa? Quali sono le minacce rilevanti per il tuo settore? L'asset inventory è il punto di partenza: non puoi proteggere quello che non sai di avere.
3. Protect (Proteggere). Firewall configurato? Endpoint protection su tutti i PC? MFA attiva? Backup funzionante? Crittografia dei dati sensibili? Formazione dei dipendenti? Qui si valutano i controlli tecnici e organizzativi.
4. Detect (Rilevare). Se un attaccante entra nella rete, quanto tempo ci metti a scoprirlo? Hai un SIEM? Log centralizzati? Monitoraggio delle anomalie? La media italiana è 180 giorni per scoprire una violazione. L'obiettivo è sotto i 30 giorni.
5. Respond (Rispondere). Hai un piano di risposta agli incidenti? Sai chi chiamare? Sai come isolare un sistema compromesso? Sai come comunicare ai clienti e al Garante? Il 90% delle PMI non ha un piano di incident response scritto.
6. Recover (Recuperare). Dopo un incidente, quanto tempo serve per tornare operativi? Il backup funziona davvero? L'hai mai testato? Hai un piano di business continuity? Il backup aziendale è la base del recovery, ma non basta da solo.
Le 5 fasi del cybersecurity assessment
Fase 1: Asset inventory e network discovery
La prima cosa che facciamo quando arriviamo da un cliente è scoprire cosa c'è nella rete. E quasi sempre il cliente scopre dispositivi che non sapeva di avere: una vecchia stampante con firmware del 2018 esposta su internet, un access point Wi-Fi installato da un dipendente senza dirlo all'IT, un server di test dimenticato acceso in un angolo.
Gli strumenti: scan della rete con Nmap (gratuito) o Lansweeper (500-2.000 €/anno) per mappare tutti i dispositivi, le porte aperte, i servizi attivi. L'output: una lista completa di ogni dispositivo nella rete con IP, MAC address, sistema operativo, servizi, ultimo aggiornamento. Tempo: 1-2 giorni per una PMI con 20-50 PC.
Fase 2: Vulnerability scan
Con l'inventario in mano, si scansionano tutti i sistemi alla ricerca di vulnerabilità note. Gli strumenti professionali (Nessus Professional, Qualys VMDR, Rapid7 InsightVM) confrontano le versioni software e le configurazioni con i database di vulnerabilità note (CVE) e assegnano un punteggio di gravità (CVSS da 0 a 10).
Un assessment tipico di una PMI con 30 PC, 2 server e 1 firewall trova in media 50-150 vulnerabilità. Non tutte sono gravi: il 60% sono di gravità bassa o media (aggiornamenti mancanti, configurazioni non ottimali). Il 30% sono di gravità alta (software con patch di sicurezza non installate). Il 10% sono critiche (servizi esposti su internet, password di default, crittografia assente). Sono quel 10% che ti fa perdere il sonno — e che la fase di vulnerability assessment identifica.
Fase 3: Risk assessment
Non tutte le vulnerabilità hanno lo stesso rischio. Una vulnerabilità critica su un server di test senza dati è meno rischiosa di una vulnerabilità media sul server che contiene i dati dei clienti. Il risk assessment combina la gravità tecnica della vulnerabilità con l'impatto di business.
Usiamo una matrice probabilità x impatto: ogni rischio viene classificato su due assi. Probabilità che venga sfruttato (bassa, media, alta, critica) e impatto se viene sfruttato (minimo, significativo, grave, catastrofico). I rischi nel quadrante alta probabilità + alto impatto sono quelli da risolvere immediatamente.
Fase 4: Gap analysis
La gap analysis confronta lo stato attuale dell'azienda con uno standard di riferimento (NIST CSF, ISO 27001, o un baseline personalizzato). Per ogni controllo di sicurezza, si valuta se è implementato, parzialmente implementato, o assente.
Esempio pratico: il NIST CSF richiede “autenticazione multi-fattore per tutti gli accessi remoti”. Se la MFA è attiva sulla VPN ma non sull'email, il controllo è parzialmente implementato. Il gap è l'MFA sull'email. La remediation è: attivare la MFA su Exchange/Microsoft 365. Costo stimato: 0 € (Microsoft Authenticator è gratuito). Tempo: 2 ore. Priorità: alta.
Fase 5: Remediation plan
Il remediation plan è il prodotto più importante dell'assessment. È un piano d'azione con: lista delle azioni correttive ordinate per priorità (critica, alta, media, bassa), costo stimato per ogni azione, tempo di implementazione, responsabile, dipendenze tra le azioni.
Un remediation plan tipico per una PMI ha 20-40 azioni. Le prime 5-10 (priorità critica) coprono l'80% del rischio e spesso costano meno di 5.000 € totali. Le azioni più comuni: aggiornare il firmware del firewall (0 €, 1 ora), attivare la MFA (0 €, 2 ore), chiudere le porte esposte su internet (0 €, 30 minuti), installare le patch di sicurezza (0 €, 4 ore), configurare il backup con test di restore (200-500 €, mezza giornata).
Costi reali del cybersecurity assessment nel 2026
| Tipo di assessment | Costo | Durata | Per chi |
|---|---|---|---|
| Assessment base PMI | 2.000-3.500 € | 3-5 giorni | PMI 10-30 utenti, 1 sede |
| Assessment standard | 3.500-5.000 € | 5-8 giorni | PMI 30-80 utenti, 1-2 sedi |
| Assessment avanzato | 5.000-8.000 € | 8-12 giorni | PMI 80-200 utenti, multi-sede |
| Assessment enterprise (NIST/ISO) | 10.000-30.000 € | 15-30 giorni | 200+ utenti, compliance NIS2 |
| Vulnerability scan trimestrale | 200-500 € | 1 giorno | Tutti (tra un assessment e l'altro) |
| Penetration test | 5.000-15.000 € | 5-10 giorni | Dopo remediation dell'assessment |
Il ROI di un assessment è brutalmente semplice: costa 2.000-5.000 € e previene incidenti che costano in media 95.000 €. Anche se l'assessment scopre solo 1 vulnerabilità critica che sarebbe stata sfruttata, il ROI è di 20-50x. Se vuoi un assessment fatto da chi poi implementa anche la remediation, dai un'occhiata ai nostri servizi cybersecurity Milano.
Cosa trovi nel report: esempio reale (anonimizzato)
Ecco un esempio reale (dati anonimizzati) di un assessment che abbiamo fatto per una PMI manifatturiera con 35 dipendenti, 2 server, 1 NAS, 1 firewall Fortinet, 35 PC, 3 access point Wi-Fi.
Security Score: 42/100 (livello: critico). Vulnerabilità trovate: 127 totali, di cui 8 critiche, 23 alte, 45 medie, 51 basse.
Top 5 criticità: 1) Firewall con firmware non aggiornato da 14 mesi (3 CVE critiche note). 2) Server RDP esposto su internet sulla porta 3389 senza MFA. 3) 12 PC con Windows 10 21H2 fuori supporto (niente più patch di sicurezza). 4) Backup su NAS nella stessa rete dei server (ransomware li cifra entrambi). 5) Nessun log centralizzato (impossibile ricostruire un eventuale incidente).
Remediation priorità critica (da fare entro 7 giorni): aggiornare firmware firewall (0 €, 2 ore), chiudere porta 3389 e configurare accesso RDP via VPN (0 €, 1 ora), attivare MFA sulla VPN e sull'email (0 €, 3 ore). Costo totale delle prime 3 azioni: 0 € (solo tempo tecnico, coperto dal contratto MSP). Riduzione del rischio: 60%.
Remediation priorità alta (da fare entro 30 giorni): aggiornare i 12 PC a Windows 11 (2.400 € per licenze se necessario), configurare backup offsite con regola 3-2-1 (500 €/anno per cloud storage), attivare log centralizzati su un server syslog (300 € di setup). Costo totale: 3.200 €. Riduzione del rischio residuo: 85%.
Ogni quanto fare l'assessment: la regola d'oro
La regola base: almeno una volta all'anno. Ma non basta fare l'assessment e poi dimenticarsene per 12 mesi. Tra un assessment completo e l'altro, serve un monitoraggio continuo: vulnerability scan automatizzati trimestrali (200-500 €/trimestre), review delle configurazioni del firewall semestrale, verifica MFA e account attivi trimestrale, test di restore del backup trimestrale.
L'assessment va ripetuto anche dopo ogni cambiamento significativo: migrazione a un nuovo server, cambio del firewall, apertura di una nuova sede, adozione di nuovi servizi cloud (Microsoft 365, AWS, Azure), acquisizione di un'altra azienda. Ogni cambiamento introduce potenziali nuove vulnerabilità.
I 5 errori più comuni negli assessment
Errore #1: Fare l'assessment e non implementare la remediation
Il 40% delle aziende che fa un assessment non implementa le azioni correttive. Il report finisce in un cassetto e le vulnerabilità restano. Un assessment senza remediation è una spesa, non un investimento. Noi di BullTech incluiamo nel contratto MSP l'implementazione delle azioni di priorità critica e alta: non te le consigliamo e basta, le facciamo.
Errore #2: Affidarsi solo al vulnerability scan. Lo scan automatico trova le vulnerabilità tecniche, ma non valuta i processi (hai una policy di password?), le persone (i dipendenti sanno riconoscere un phishing?), e il contesto di business (quali dati sono critici?). L'assessment completo include anche questi aspetti.
Errore #3: Farlo fare a chi ti vende la soluzione. Se l'assessment lo fa lo stesso vendor che poi ti vende il firewall o l'antivirus, c'è un conflitto di interessi. L'assessment dovrebbe essere indipendente: ti dice cosa ti serve, poi tu scegli da chi comprarlo. Noi di BullTech siamo MSP e non siamo legati a nessun vendor in esclusiva: consigliamo Fortinet, Sophos, Microsoft o qualsiasi altro in base a quello che serve davvero. Se cerchi un'azienda informatica a Milano che faccia assessment senza secondi fini, parlaci.
Errore #4: Non ripeterlo. Un assessment fatto una volta non vale per sempre. L'infrastruttura cambia, le minacce evolvono, nuove vulnerabilità vengono scoperte ogni giorno. Ripeti l'assessment ogni 12 mesi.
Errore #5: Non coinvolgere il management. L'assessment deve avere il supporto della direzione. Senza budget e senza il mandato per implementare le azioni correttive, resta un esercizio accademico. Il report deve includere un Executive Summary comprensibile anche per chi non è tecnico.
Vuoi sapere a che punto sei con la cybersecurity?
BullTech offre cybersecurity assessment completi per PMI a partire da 2.500 €: asset inventory, vulnerability scan, risk assessment, gap analysis NIST CSF e remediation plan prioritizzato. Chiamaci al 039 6099 023 o scrivici.